MADRID, 12 de febrero. (Portal/EP) – Los investigadores de Check Point Research han identificado una nueva versión del gusano Raspberry Robin que explota vulnerabilidades de día cero y de un día y tiene nuevas capacidades de evasión. Raspberry Robin es un gusano que destaca por su capacidad de evasión y por explotar principalmente vulnerabilidades del primer día, es decir, aquellas que ya cuentan con un parche, aunque aún no se haya distribuido a todos los clientes o sistemas afectados.
. Los investigadores de Red Canary lo identificaron por primera vez en 2021 y, aunque no está claro quién lo creó, se ha relacionado con varios grupos de ciberdelincuentes, incluidos EvilCorp y TA505. A menudo utilizan Raspberry Robin como intermediario de acceso inicial, explotando vulnerabilidades para escalar privilegios y facilitar la implementación de malware adicional.
La última versión cuenta con nuevas funciones para evitar los sistemas de detección de malware, tal y como explica Check Point Research en su blog oficial. Por lo tanto, puede continuar funcionando incluso cuando el sistema está apagado y verifica si la computadora es un escritorio remoto, pero también puede dejar de funcionar si detecta la presencia de un controlador de escritorio remoto. Filtrado de escritura unificado, que ayuda a proteger la integridad del directorio al evitar modificaciones permanentes.
al repositorio subyacente. Los investigadores de Check Point Research identificaron que la última versión utiliza la plataforma Discord para propagarse a través de archivos RAR maliciosos, aunque aprovecha principalmente los controladores USB. Además de utilizar exploits del primer día (para las vulnerabilidades del primer día), también se determinó que la versión más reciente utilizaba exploits de día cero (sin parches) vendidos en la ‘web negra’ seis meses antes del ataque.
La vulnerabilidad se ha hecho pública. En cualquier caso, Check Point cree que los creadores de Raspberry Robin no desarrollaron los ‘exploits’ sino que los compraron, ya que se utilizan como ejecutables externos para 64 bits, sólo son válidos para 64 bits y no son demasiado vagos. .
